<div dir="ltr"><div dir="ltr">Hello,<div><br></div><div>I have thousands of examples of file extraction failing because of what appears to be unknown information across both the latest stable and beta releases.</div><div><br></div><div>In the example below, the HTTP URI, HOST, REFERER, and USER AGENT are unknown and this seems to trigger file extraction even though in the rule I have specified only to extract PDF files. </div><div><br></div><div>Anyone have any thoughts on fixing this? My goal is to only collect 20 or so filetypes for extraction and not have to recheck to see if the file was extracted in error.</div><div><br></div><div><div>[root@localhost files]# cat file.1048.meta</div><div>TIME:              08/16/2018-18:52:47.898829</div><div>SRC IP:            172.16.221.101</div><div>DST IP:            172.16.221.120</div><div>PROTO:             6</div><div>SRC PORT:          80</div><div>DST PORT:          51680</div><div>APP PROTO:         http</div><div>HTTP URI:          <unknown></div><div>HTTP HOST:         <unknown></div><div>HTTP REFERER:      <unknown></div><div>HTTP USER AGENT:   <unknown></div><div>FILENAME:          /yellow/</div><div>MAGIC:             HTML document, ASCII text, with CRLF line terminators</div><div>STATE:             CLOSED</div><div>SIZE:              4958</div><div>[root@localhost files]# cat /etc/suricata/rules/foo.rules </div><div><br></div><div><br></div><div>alert http any any -> any any (msg:"any file"; filemagic:"PDF"; filestore; sid:1; rev:1;)</div></div><div><br></div><div><br></div><div><br></div><div>Thanks,</div><div><br></div><div>Carl</div></div></div>